高妮, 賀毅岳, 常言說, 王孟陽

(1.西安財經(jīng)學(xué)院 信息學(xué)院，陜西 西安 710100；2.西北大學(xué) 經(jīng)濟(jì)管理學(xué)院, 陜西 西安 710127；3.中國人民銀行西安分行, 陜西 西安 710075 )

脆弱性嚴(yán)重性動態(tài)綜合量化評估方法

高妮1, 賀毅岳2, 常言說1, 王孟陽3

(1.西安財經(jīng)學(xué)院 信息學(xué)院，陜西 西安 710100；2.西北大學(xué) 經(jīng)濟(jì)管理學(xué)院, 陜西 西安 710127；3.中國人民銀行西安分行, 陜西 西安 710075 )

針對CVSS(common vulnerability scoring system)方法很少考慮隨時間改變的動態(tài)指標(biāo)對脆弱性嚴(yán)重性評估的動態(tài)影響，提出一種脆弱性嚴(yán)重性動態(tài)綜合量化評估方法(dynamic vulnerability severity assessment，DVSA).在CVSS評分的基礎(chǔ)上，引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級2個動態(tài)指標(biāo).安全影響、靜態(tài)脆弱性可利用性和動態(tài)脆弱性可利用性3個脆弱性指標(biāo)被選取，并進(jìn)行脆弱性指標(biāo)量化.該方法可獲得每個脆弱性從0到10的嚴(yán)重性量化值，并將脆弱性嚴(yán)重性等級評定為高危、中危和低危3個嚴(yán)重等級.實(shí)驗結(jié)果表明DVSA方法可提高脆弱性嚴(yán)重性評估結(jié)果的多樣性和準(zhǔn)確性.

脆弱性；脆弱性嚴(yán)重性評估；脆弱性代碼可利用性

計算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨的網(wǎng)絡(luò)安全問題形式日益嚴(yán)峻，然而脆弱性是網(wǎng)絡(luò)系統(tǒng)面臨安全問題的一個非常重要的影響指標(biāo).2009—2016年的脆弱性統(tǒng)計數(shù)據(jù)表明，中國國家信息安全漏洞庫(CNNVD)[1]每年新增5 000個左右的脆弱性數(shù)量，脆弱性成為首要的安全威脅指標(biāo).當(dāng)前脆弱性出現(xiàn)更為智能化的利用工具、被利用危害網(wǎng)絡(luò)范圍越來越大等新特性，那么將會出現(xiàn)影響更為惡劣的網(wǎng)絡(luò)攻擊事件[2].隨著脆弱性數(shù)量的增加，高級持續(xù)性威脅(advanced persistent threat, APT)等攻擊方式的涌現(xiàn)，防火墻、入侵檢測系統(tǒng)等傳統(tǒng)安全防御方法只是盡可能識別攻擊行為，無法有效對脆弱性的潛在威脅進(jìn)行防護(hù).因此，對已知脆弱性的研究與分析具有現(xiàn)實(shí)意義和應(yīng)用前景.

發(fā)現(xiàn)脆弱性的最終目的是利用合適的補(bǔ)丁修復(fù)策略對脆弱性打補(bǔ)丁，最終可以排除網(wǎng)絡(luò)系統(tǒng)中隱藏的威脅.為了高效修復(fù)脆弱性，對脆弱性風(fēng)險進(jìn)行有效評估是脆弱性修復(fù)策略的憑據(jù)和條件，因此有效評估脆弱性嚴(yán)重性是極為重要的.另外，對脆弱性進(jìn)行有效的評估可以準(zhǔn)確評估當(dāng)前網(wǎng)絡(luò)系統(tǒng)所面臨的最大安全風(fēng)險，從而為進(jìn)一步對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全防護(hù)提供有力幫助，并將脆弱性帶來的威脅降到最低程度.

1 相關(guān)工作

當(dāng)前多數(shù)研究工作常常依靠利用通用脆弱性評分系統(tǒng)(common vulnerability scoring system, CVSS)[3]計算脆弱性嚴(yán)重性，本文對2002-2016年的美國國家信息安全漏洞庫(national vulnerability database, NVD)[4]的74 217個脆弱性樣本給出CVSS評分分布情況的統(tǒng)計結(jié)果.如圖1所示，從基于CVSS的脆弱性評分分布可以看出，相同的嚴(yán)重性等級和CVSS分值存在很多的脆弱性數(shù)量.如果上百個高危脆弱性需要打補(bǔ)丁，那么哪些高危類型的脆弱性需要優(yōu)先打補(bǔ)丁呢？因此，更為多樣化和準(zhǔn)確評估脆弱性會更加精確區(qū)分脆弱性之間的差異性.

圖1 0～10分值區(qū)間的CVSS評分分布Fig.1 Distribution of CVSS score group by ten

脆弱性評估技術(shù)可以分為脆弱性的定性評估方法和定量評估方法.定性評估主要是以脆弱性的相關(guān)屬性為基礎(chǔ)，通過計算給脆弱性一個嚴(yán)重性級別；定量評估側(cè)重通過評分指標(biāo)的整合對嚴(yán)重性進(jìn)行一個分值的量化.目前，國內(nèi)外許多學(xué)者在應(yīng)用廣泛的CVSS評分系統(tǒng)研究的基礎(chǔ)上對脆弱性評估方法開展了深入的研究工作，并創(chuàng)建了新的脆弱性評估體系.Ahmed等[5]提出了網(wǎng)絡(luò)安全評估框架，該框架可以對網(wǎng)絡(luò)中已知的和未知的脆弱性分別進(jìn)行定量評估.Dinh等[6]提出了利用圖形優(yōu)化原理進(jìn)行脆弱性定量和定性的評估.張玉清等[7]提出了CVRS的脆弱性定量評估系統(tǒng)，該系統(tǒng)在CVSS理論上添加了客觀因子，還增加了非客觀因子，從而綜合評估脆弱性的嚴(yán)重性.劉奇旭等[8]提出一種新的脆弱性評估系統(tǒng)VRSS，該系統(tǒng)可評估出脆弱性的定量評分和定性評級，主要是利用CVSS相關(guān)理論結(jié)合脆弱性類型指標(biāo)等.在脆弱性評估研究不斷深入的情況下，為了能夠多方面、綜合地評估脆弱性，依據(jù)脆弱性屬性，在灰色評估理論、層次分析法等相關(guān)基礎(chǔ)上進(jìn)行分析處理，也建立了很多評估方法.付志耀等[9]提出利用屬性約簡算法獲得評估所需的脆弱性屬性集，在此集合基礎(chǔ)上利用綜合評價算法獲得脆弱性嚴(yán)重性的定性評級和定量評分結(jié)果.

現(xiàn)有脆弱性評估方法存在僅依賴脆弱性靜態(tài)相關(guān)指標(biāo)的問題，然而脆弱性嚴(yán)重性評分會隨著時間而變化,其中，補(bǔ)丁修復(fù)等級和脆弱性代碼可利用性2個動態(tài)指標(biāo)可動態(tài)影響漏洞嚴(yán)重性評分.因此，如何選擇準(zhǔn)確的脆弱性評估指標(biāo)并對其進(jìn)行定量和定性評估是脆弱性嚴(yán)重性評估的關(guān)鍵問題.本文改進(jìn)現(xiàn)有脆弱性評估方法，利用CVSS評分機(jī)制，引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級2個動態(tài)指標(biāo)，并給出動態(tài)指標(biāo)量化方法.一種脆弱性嚴(yán)重性動態(tài)綜合量化評估方法(dynamic vulnerability severity assessment，DVSA)被提出，最后，DVSA方法通過實(shí)驗驗證，可提高脆弱性嚴(yán)重性評估結(jié)果的多樣性和準(zhǔn)確性.

2 脆弱性嚴(yán)重性動態(tài)量化評估

2.1 評估流程

脆弱性嚴(yán)重性動態(tài)綜合量化評估方法的框架包括3個階段，如圖2所示.

階段1：脆弱性嚴(yán)重性評估指標(biāo)選取.首先在CVSS脆弱性評分基礎(chǔ)上，增加脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級2個動態(tài)指標(biāo).然后形成3個脆弱性指標(biāo)：安全影響指標(biāo)、靜態(tài)脆弱性可利用性指標(biāo)和動態(tài)脆弱性可利用性指標(biāo).

階段2：脆弱性嚴(yán)重性評估指標(biāo)量化.對階段1獲取的3個脆弱性指標(biāo)進(jìn)行賦值量化.

階段3：脆弱性嚴(yán)重性動態(tài)綜合量化評估方法.使用3項脆弱性指標(biāo)綜合計算脆弱性嚴(yán)重性等級和評分.

2.2 脆弱性嚴(yán)重性評估指標(biāo)選取

網(wǎng)絡(luò)攻擊者一般成功利用脆弱性后才會對網(wǎng)絡(luò)系統(tǒng)形成大規(guī)模威脅，故應(yīng)該對脆弱性的可利用性進(jìn)行科學(xué)評估.首先，利用CVSS評分機(jī)制[3]中原有的特性，本文定義靜態(tài)脆弱性可利用性指標(biāo)為訪問向量、認(rèn)證和訪問復(fù)雜度.

相關(guān)研究表明脆弱性嚴(yán)重性評分會隨著時間而變化，因此僅依賴靜態(tài)脆弱性可利用性指標(biāo)還不夠充分.一般來說脆弱性發(fā)布時間越久，脆弱性利用工具更為智能化，且自動化程度更高，那么脆弱性利用成功的可能性更大.文獻(xiàn)[10]提出脆弱性代碼可利用性服從Pareto分布，故本文利用文獻(xiàn)[10]的脆弱性代碼可利用性方法將其指標(biāo)量化.另一方面，隨著脆弱性發(fā)布時間的推移，出現(xiàn)脆弱性的廠商會提高提交補(bǔ)丁的質(zhì)量.故將CVSS評分機(jī)制涉及到的補(bǔ)丁修復(fù)等級作為補(bǔ)丁質(zhì)量指標(biāo).因此，本文定義動態(tài)脆弱性可利用性指標(biāo)為補(bǔ)丁修復(fù)等級和脆弱性代碼可利用性.然后，脆弱性被網(wǎng)絡(luò)攻擊者成功利用后，還需要考慮其產(chǎn)生的安全影響.如果一個脆弱性被攻擊者成功利用后對網(wǎng)絡(luò)系統(tǒng)造成機(jī)密性、完整性和可用性損失程度越大，那么該脆弱性的嚴(yán)重性越高.因此，本文定義安全影響指標(biāo)為機(jī)密性、完整性和可用性[2].最后，本文根據(jù)上述研究分析將其分到3個脆弱性指標(biāo)組中，如圖3所示，可定義為：安全影響指標(biāo)、靜態(tài)脆弱性可利用性指標(biāo)和動態(tài)脆弱性可利用性指標(biāo).

圖2 脆弱性嚴(yán)重性評估框架Fig.2 Process of vulnerability severity assessment

圖3 脆弱性嚴(yán)重性評估指標(biāo)Fig.3 Vulnerability severity assessment factors

2.3 脆弱性嚴(yán)重性評估指標(biāo)量化

文獻(xiàn)[2]對安全影響指標(biāo)和靜態(tài)脆弱性可利用性指標(biāo)的量化標(biāo)準(zhǔn)進(jìn)行了分析，給出了靜態(tài)脆弱性可利用性指標(biāo)的量化評分，并給出了機(jī)密性、完整性和可用性3個安全屬性的27種排列組合的映射規(guī)則，可將安全影響指標(biāo)賦予0到1的評估值.

本文重點(diǎn)對動態(tài)脆弱性可利用性指標(biāo)進(jìn)行量化定義.上文已定義動態(tài)脆弱性可利用性指標(biāo)為脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級，表1給出了該指標(biāo)的量化取值.文獻(xiàn)[10]說明了脆弱性代碼可利用性概率服從Pareto分布，其大小定義為

(1)

其中x為脆弱性發(fā)布日期到當(dāng)前日期的總天數(shù).

表1 動態(tài)脆弱性可利用性指標(biāo)和評分

2.4 脆弱性嚴(yán)重性動態(tài)綜合量化評估方法

本文提出DVSA方法，首先，靜態(tài)脆弱性可利用性指標(biāo)大小使用CVSS的exploitability計算公式去定義，然后，動態(tài)脆弱性可利用性指標(biāo)大小使用補(bǔ)丁修復(fù)等級與脆弱性代碼可利用性的乘積來計算，再結(jié)合安全影響評分綜合評估脆弱性嚴(yán)重性，其評分規(guī)則定義參見公式(2)

Score = SI+SE+DE,

(2)

其中SI為安全影響評分，SE為靜態(tài)脆弱性可利用性評分，DE為動態(tài)脆弱性可利用性評分.

靜態(tài)脆弱性可利用性評分SE定義公式如下：

SE= 2×AV×AC×Au,

(3)

其中，AV為訪問向量，Au為認(rèn)證，AC為訪問復(fù)雜度.

動態(tài)脆弱性可利用性評分DE定于公式如下：

(4)

其中EA為脆弱性代碼可利用性，RL為補(bǔ)丁修復(fù)等級.安全影響評分SI可參見文獻(xiàn)[2]中表4.4.

DE取值0～0.5，SI和SE取值都為0～1，可得Score取值0～2.5.因此，可將Score取值映射到0～10，可定義為

Score= 4×(SI+SE+DE).

(5)

將脆弱性嚴(yán)重性的動態(tài)綜合量化評分映射到高危、中危和低危3個嚴(yán)重級別，如表2所示.

表2 脆弱性嚴(yán)重性級別

3 仿真實(shí)驗

3.1 單個脆弱性評估實(shí)例

本節(jié)對所提DVSA方法的計算過程進(jìn)行解釋，并對一個具體脆弱性CVE-2016-2843進(jìn)行評分.該實(shí)例的相關(guān)指標(biāo)信息可以從NVD數(shù)據(jù)庫中獲得，如表3所示.

表3 CVE-2016-2843脆弱性信息

DVSA方法的計算過程可分為4步驟：

步驟1，根據(jù)公式(3)計算靜態(tài)脆弱性可利用性為SE= 2×1×0.71×0.704=1.

步驟2，假設(shè)脆弱性CVE-2016-2843當(dāng)前評估日期為2016年4月7日，從表3中可知該脆弱性的發(fā)布時間為2016年3月7號.因此，脆弱性發(fā)布日期到當(dāng)前評估日期的總天數(shù)為30 d，脆弱性代碼可利用性概率大小EA可根據(jù)公式(1)計算為

從表3中可知補(bǔ)丁修復(fù)等級RL為官方補(bǔ)丁，從表1中可知官方補(bǔ)丁對應(yīng)分值為0.87，即RL= 0.87.因此，動態(tài)脆弱性可利用性概率大小DE可根據(jù)公式(4)計算為

DE= 0.5×0.87×0.922 4 = 0.401 25.

步驟3，從表3中可知脆弱性的機(jī)密性、可用性和完整性影響都為“完全”，安全影響SI評分標(biāo)準(zhǔn)可參照文獻(xiàn)[2]給出的表4.4，SI取值為第1種情況，即SI= 1.

步驟4，脆弱性CVE-2016-2843的嚴(yán)重性評分可根據(jù)公式(5)計算為

Score= 4×(1+1+0.401 25) = 9.605.

該脆弱性嚴(yán)重性等級可參照表2為高危，而CVSS評分為9.8，是一個高危脆弱性.仿真實(shí)驗結(jié)果表明本文所提DVSA方法與CVSS評估結(jié)果一致.

3.2 實(shí)驗數(shù)據(jù)

本節(jié)實(shí)驗利用本文所提DVSA方法對表4中主機(jī)A的脆弱性信息進(jìn)行嚴(yán)重性評估，并設(shè)置當(dāng)前評估時間為2016-3-12，實(shí)驗對比分析結(jié)果詳見表5和表6.

表4 主機(jī)A的脆弱性信息

3.3 多個脆弱性評估對比分析

由圖2的統(tǒng)計分析結(jié)果可知，很多脆弱性對應(yīng)相同的CVSS分?jǐn)?shù).在定量分析方面，本文所提DVSA方法可提高脆弱性嚴(yán)重性評估結(jié)果的多樣性和準(zhǔn)確性.從表5可以看出，從定量角度出發(fā)，DVSA的評分結(jié)果與CVSS以及CNNVD的評分趨勢一致，都是v5 > v7 > v3 > v1 > v2 > v4 > v6 > v8 > v9.

一方面，脆弱性CVE-2015-8664和CVE-2015-8369的CVSS評分為7.5，從實(shí)驗結(jié)果可以看出使用本文所提DVSA方法可以區(qū)別這2個脆弱性的差異性，CVE-2015-8369比CVE-2015-8369的評分略大一點(diǎn).這是因為脆弱性CVE-2015-8369暫時無補(bǔ)丁修復(fù)，故防御能力較弱，同時也表明了本文所提DVSA方法中引入“補(bǔ)丁修復(fù)等級”這一動態(tài)指標(biāo)的有效性.

另一方面，脆弱性CVE-2015-6790和CVE-2014-6444的評分為4.3，而本文所提DVSA方法分別計算為5.875和5.863，CVE-2015-6790比CVE-2014-6444的評分略大一點(diǎn).從表4可以看出前者發(fā)布時間比后者發(fā)布時間更久，隨著時間的推移，攻擊者會設(shè)計出攻擊成功率更高的脆弱性利用工具，因此脆弱性代碼可利用性會隨著時間動態(tài)增加.實(shí)驗結(jié)果表明本文所提DVAS方法中引入“脆弱性代碼可利用性”這一動態(tài)指標(biāo)的準(zhǔn)確性.

在定性分析方面，從表6可以清晰地看出，脆弱性的評估等級和CVSS、CNNVD的評估結(jié)果基本吻合.綜上所述，利用本文所提DVSA方法能對脆弱性進(jìn)行有效且準(zhǔn)確的定量和定性評估，可提高脆弱性嚴(yán)重性評估結(jié)果的多樣性和準(zhǔn)確性.

表5 DVSA和CVSS的脆弱性嚴(yán)重性評分比較

表6 DVSA和CVSS、CNNVD的脆弱性嚴(yán)重性級別比較

4 結(jié)論

深入分析現(xiàn)有脆弱性評估存在的問題，針對CVSS方法很少考慮隨時間改變的動態(tài)指標(biāo)對脆弱性嚴(yán)重性評估的動態(tài)影響，提出了一種脆弱性嚴(yán)重性動態(tài)綜合量化評估方法DVSA.在CVSS評分的基礎(chǔ)上，引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級2個動態(tài)指標(biāo)，通過DVSA方法可獲得每個脆弱性從0～10的嚴(yán)重性量化值，并將脆弱性嚴(yán)重性等級評定為高危、中危和低危3個嚴(yán)重等級.實(shí)驗表明引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級2個動態(tài)指標(biāo)提高了脆弱性嚴(yán)重性評估結(jié)果的準(zhǔn)確性和多樣性，能更加細(xì)微地區(qū)分脆弱性的差異性.

[1] 中國信息安全測評中心.China national vulnerability database of information security(CNNVD) [EB/OL]. [2017-5-2].http://www.cnnvd.org.cn/.

[2] 高妮.網(wǎng)絡(luò)安全多維動態(tài)風(fēng)險評估關(guān)鍵技術(shù)研究[D].西安:西北大學(xué), 2016. GAO N.The research on key technologies of multi-dimensional and dynamic risk assement of network security[D].Xi’an:Northwest University, 2016.

[3] THE MITRE CORPORATION.Common vulnerabilities and exposures(CVE) [EB/OL].[2017-4-24].http://www.cve.mitre.org/.

[4] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY.National vulnerability database(NVD) [EB/OL]. [2017-1-23].https://nvd.nist.gov/download.cfm.

[5] AHMED M S, AI-SHAER E, KHAN L.A novel quantitative approach for measuring network security[Z].International Conference on Computer Communications, Phoenix, 2008.

[6] DINH T N, YING X, THAI M T, et al.On new approaches of assessing network vulnerability: hardness and approximation[J].IEEE/ACM Transactions on Networking, 2012, 20(2):609-619.

[7] YANG H, ZHANG Y, HU Y, et al.IKE vulnerability discovery based on fuzzing[J].Security & Communication Networks, 2013, 6(7):889-901.

[8] LIU Q, ZHANG Y, KONG Y, et al.Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J].Journal of Systems and Software, 2012, 85(8):1699-1708.

[9] 付志耀, 高嶺, 孫騫, 等.基于粗糙集的脆弱性屬性約簡及嚴(yán)重性評估[J].計算機(jī)研究與發(fā)展, 2016, 53(5):1009-1017.DOI: 10.7544/issn1000-1239.2016.20150065. FU Z Y, GAO L, SUN Q, et al.Evaluation of vulnerability severity based on rough sets and attributes reduction[J].Journal of Computer Research and Development, 2016, 53(5):1009-1017.DOI: 10.7544/issn1000-1239.2016.20150065.

[10] FREI S, MAY M, FIEDLER U, et al.Large-scale vulnerability analysis[Z].Proceedings of the Workshop on Large-scale Attack Defense, Pisa, 2006:131-138.

(責(zé)任編輯：孟素蘭)

A dynamic and comprehensive quantitative scoring method of vulnerability severity

GAO Ni1, HE Yiyue2, CHANG Yanshuo1, WANG Mengyang3

(1.School of Information, Xi’an University of Finance and Economics, Xi’an 710100, China; 2.School of Economics and Management, Northwest University, Xi’an 710127, China; 3.People's Bank of China Xi’an Branch, Xi’an 710075, China)

The vulnerability severity evaluation is rarely considered the dynamic indicator with changing time in the CVSS method, so the paper proposes a method of dynamic vulnerability severity assessment (DVSA).The code exploitability and the patch remediation level of dynamical indexes are introduced based on the CVSS score.Three vulnerability indexes, such as the safety influence attribute, the static vulnerability exploitability attribute and the dynamic vulnerability exploitability attribute, are selected and quantified.The vulnerability severity is evaluated with values from 0 to 10 by using the DVSA method, which can divide vulnerability severity rank into three levels: high, moderate and low.Experimental results showed that this method can more precisely distinguish the difference between vulnerabilities, and improve the diversity and accuracy of the vulnerability severity evaluation.

vulnerability; vulnerability severity evaluation; the code exploitability of vulnerability

10.3969/j.issn.1000-1565.2017.04.012

2016-08-22

國家自然科學(xué)基金資助項目(61373176; 61572401； 61672426)；陜西省自然科學(xué)基金資助項目(2015JQ7278)

高妮 (1982—)，女，陜西咸陽人，西安財經(jīng)學(xué)院講師，博士，主要從事網(wǎng)絡(luò)安全、機(jī)器學(xué)習(xí)方向研究. E-mail：gaoni@nwu.edu.cn

TP393

A

1000-1565(2017)04-0405-06